Wszystko o certyfikatach SSL

... a jeśli nie znajdziesz odpowiedzi na nurtujące Cię pytanie, napisz do nas. Jesteśmy stale do dyspozycji!

SSL zapewnia poufność i integralność transmisji danych oraz uwierzytelnia serwer. Jest to technologia kryptograficzna, która ma zapewnić wzajemne zaufanie obu stron przesyłających dane między sobą.

SSL opiera się na szyfrowaniu asymetrycznym oraz certyfikatach X.509. SSL pozwala użytkownikom potwierdzić tożsamość serwera, dzięki czemu mamy pewność, że dane pochodzą stąd skąd powinny i nie zostały nigdzie po drodze zmodyfikowane. Przeglądarka internetowa potrafi automatycznie potwierdzić czy certyfikat jest prawidłowy i został wystawiony przez urząd certyfikacji, znajdujący się na jej liście zaufanych wystawców. Technologia SSL jest obecnie podstawą bezpiecznego handlu internetowego.

Szyfrowane połączenie SSL wymaga szyfrowania wszelkich danych przesyłanych pomiędzy przeglądarką internetową a serwerem i chroni w ten sposób dane przed przechwyceniem ich przez osoby niepowołane. Dodatkowo, dane przesyłane przez SSL są chronione mechanizmem pozwalającym stwierdzić, czy nie nastąpiła nieautoryzowana próba ich modyfikacji. Oznacza to, że użytkownicy mogą bezpiecznie przesyłać dane prywatne, takie jak hasła czy numery kart kredytowych.

Certyfikaty SSL
Przeglądarki internetowe w wyraźny sposób informują nas, gdy połączenie jest szyfrowane. Ponadto adres strony w połączeniu szyfrowanym zaczyna się od https://. Zaszyfrowane przez serwer dane mogą być odszyfrowane wyłącznie przez drugą stronę połączenia. Trwa to ułamki sekund i nie wymaga żadnej akcji ze strony użytkownika.

Certyfikat SSL można wygenerować samodzielnie, jednak tylko certyfikaty wydane przez zaufanych wystawców będą rozpoznawane jako wiarygodne w przeglądarkach internetowych. Jest to związane z tym, iż wystawca dokonuje weryfikacji osoby aplikującej o certyfikat, sprawdzając czy jest tym za kogo się podaje oraz czy jest uprawniona do korzystania z domeny, dla której ma być wydany certyfikat.

Obecnie posiadanie certyfikatu SSL to nie tylko dobra praktyka, ale wręcz konieczność. Również przepisy prawa wymagają od nas zapewnienia bezpiecznego przesyłu wrażliwych danych naszych klientów. Oto najważniejsze zalety posiadania certyfikatu SSL:

  • Zwiększone zaufanie klientów
  • Bezpieczeństwo transmisji danych
  • Wyeliminowanie ryzyka przechwycenia transmisji przez osoby niepowołane
  • Bezpieczne przesyłanie haseł i innych danych dostępowych
  • Bezpieczny dostęp do danych osobowych
  • Zwiększona częstotliwość dokonywanych transakcji oraz wyższe przychody

Świadomość istniejących zagrożeń jest coraz większa wśród użytkowników internetu, będą więc oni bardzo niechętni przekazywaniu swoich danych jakimkolwiek serwisom, które w należyty sposób nie dbają o zbieranie i przechowywanie ich danych. Brak ważnego certyfikatu SSL, wystawionego przez zaufany podmiot, zniechęci wielu do dokonania zakupu.

Należy pamiętać, że oprócz zakupu certyfikatu SSL należy pamiętać o jego prawidłowym wdrożeniu. W szczególności należy zadbać, aby dane były szyfrowane we wszystkich sekcjach strony, gdzie przesyłane są hasła i dane osobowe oraz w panelach administracyjnych.

Certyfikaty wszystkich wystawców są akceptowane przez ponad 99% systemów i przeglądarek, w tym wszystkie współczesne ich wydania.

Przy poprawnym zainstalowaniu certyfikatu przeglądarki nie generują żadnych ostrzeżeń, zaś Twoi klienci bezpiecznie dokonują zakupów w Twoim serwisie internetowym.

Pamiętaj, że możesz to sprawdzić sam w swojej przeglądarce na swoim komputerze:
Otwórz stronę szyfrowaną certyfikatem RapidSSL
Otwórz stronę szyfrowaną certyfikatem GeoTrust QuickSSL Premium

Możliwość instalacji własnego certyfikatu SSL jest standardem w ofercie większości firm dostarczających usługi serwerowe, należy jednak zweryfikować możliwości techniczne.

Warunkiem niezbędnym dla zainstalowania certyfikatu dla danej domeny jest posiadanie przez dane konto na serwerze własnego, samodzielnego adresu IP. Na jednym adresie IP możemy zainstalować wyłącznie jeden certyfikat.

Dodatkowo, w zależności od panelu kontrolnego dostępnego na danym serwerze, istnieje możliwość samodzielnej instalacji certyfikatu SSL bądź też należy zlecić to obsłudze technicznej. Każdorazowo potrzebujemy do tego oprócz certyfikatu również wygenerowany pierwotnie klucz prywatny.

Istnieje również techniczna możliwość instalacji wielu różnych certyfikatów SSL na jednym adresie IP (Server Name Indication). Należy jednak, iż jest to dość nowe rozwiązanie, które nie jest wspierane przez wszystkie przeglądarki internetowe oraz oprogramowanie serwerowe.

Zamówienie certyfikatu SSL jest bardzo proste i nie wymaga wiedzy specjalistycznej. Wystarczy postępować według wskazówek.

Na początku należy zweryfikować możliwości instalacji certyfikatu SSL na danym serwerze. Jeśli nie ma ku temu przeszkód, możemy przystąpić do zamówienia.

Aby złożyć zamówienie na certyfikat SSL, potrzebujemy tzw. CSR. Można go wygenerować wygodnie podczas procesu zamawiania. Prosimy pamiętać, aby zachować w bezpiecznym miejscu klucz prywatny, generowany razem z CSR, gdyż będzie on później niezbędny do instalacji certyfikatu SSL.

Już na etapie generowania CSR musimy zdecydować, czy będziemy zamawiać certyfikat dla jednej nazwy domenowej, czy też w formacie wildcard (w takim wypadku należy nazwę domeny rozpocząć od znaku *, np. *.certyfikaty24.pl).

Podczas procesu zamawiania certyfikatu należy wybrać wystawcę oraz rodzaj certyfikatu. Po wysłaniu formularza zamówienia należy dokonać płatności. Można wykonać przelew bankowy na podstawie automatycznie wygenerowanej faktury proforma (przesyłanej e-mailem) lub dokonać opłaty kartą płatniczą bądź szybkim przelewem.

Certificate Signing Request (CSR) jest żądaniem wystawienia certyfikatu, generowanym przez serwer, dla konkretnej domeny.

Certificate Signing Request (CSR) jest żądaniem wystawienia certyfikatu, generowanym przez serwer, dla konkretnej domeny. Zawiera podstawowe informacje takie jak nazwę wnioskującego, adres strony oraz autoryzowany adres e-mail. Zawiera również klucz publiczny (który stanowi część jawną certyfikatu). CSR jest następnie przesyłany do wystawcy certyfikatu i na jego podstawie jest generowany certyfikat.

Aby uzyskać CSR, możesz zwrócić się z prośbą o jego wygenerowanie do administratora swojego serwera, podając dokładną nazwę domeny dla jakiej ma być wygenerowany certyfikat oraz swoje dane. Możesz również wygenerować CSR podczas składania zamówienia na certyfikat SSL, podczas którego utworzymy dla Ciebie zarówno klucz prywatny jak i CSR.

Tak, w naszym serwisie można zamówić certyfikat na okres 4 lat.

Istnieje wiele korzyści w takim wypadku. Po pierwsze, certyfikat instaluje się tylko raz i jest ważny przez cały okres. Po drugie, wyłącznie raz przechodzi się proces weryfikacji - przy wydaniu certyfikatu. Po trzecie, w przypadku zamówienia certyfikatu na dłuższy okres oferujemy zniżki, nawet do 20%. Zniżki naliczane są automatycznie podczas składania zamówienia.

Jeśli nie jesteś pewien, czy certyfikat SSL zadziała prawidłowo na Twoim serwerze bądź nigdy wcześniej nie posiadałeś certyfikatu SSL, uzyskaj darmowy certyfikat próbny.

Certyfikat FreeSSL jest wydawany dla pojedynczej nazwy domenowej na okres 30 dni. Jest to w pełni funkcjonalny certyfikat, równoważny dla RapidSSL. Zapewni ten sam poziom ochrony, co pełnopłatny certyfikat i można go stosować nie tylko do testów, ale również do działających, publicznie dostępnych stron internetowych.

Zamówienie certyfikatu FreeSSL nie wiąże się z koniecznością zakupu płatnego certyfikatu po okresie 30 dni. Jeżeli jednak chcesz kontynuować ochronę po tym okresie, należy wykupić dowolny inny certyfikat.

Certyfikat FreeSSL można uzyskać wyłącznie jeden raz dla danej nazwy domeny, niedozwolone jest również aplikowanie o certyfikat FreeSSL dla innej subdomeny danej nazwy domeny. W takich wypadkach certyfikat nie zostanie wydany.

Wybrane certyfikaty możesz uzyskać nawet w kilka minut, na wydanie innych należy zarezerwować co najmniej kilka dni czasu. Dowiesz się tu, od czego to zależy.

Najszybciej można uzyskać certyfikaty SSL z uwierzytelnieniem podstawowym, czyli takie, w których weryfikowane jest wyłącznie prawo do posiadanej domeny.

Certyfikat (np. RapidSSL lub GeoTrust QuickSSL Premium) możesz uzyskać nawet w kilka minut, niezależnie od pory dnia i nocy. Jeśli zamówisz certyfikat i opłacisz go kartą płatniczą lub przelewem on-line, procedura wydania zostanie zainicjowana automatycznie. Po potwierdzeniu przez Ciebie praw do domeny (poprzez kliknięcie w link autoryzacyjny, wysyłany na adres e-mail w domenie, dla której ma być wydany certyfikat) certyfikat jest wydawany natychmiast (z nielicznymi wyjątkami, określonymi przez wystawcę).

Certyfikat z pełnym uwierzytelnieniem, czyli taki, dla którego w ramach procedury wydania dokonywana jest weryfikacja firmy (sprawdzanie dokumentów i kontakt z firmą) będzie wymagał co najmniej 1 dnia roboczego na wykonanie tych czynności.

Najwięcej czasu należy przeznaczyć na wydanie certyfikatu EV. Trwać będzie zarówno weryfikacja dokumentów firmy jak i również ich przygotowanie (jeśli np. pojawi się konieczność przedstawienia opinii prawnej). Z doświadczenia wiemy, że najczęściej trwa to łącznie około 1-2 tygodni.

W okresie od momentu rozpoczęcia procedury wydania certyfikatu do jego wydania oraz do 30 dni po wydaniu certyfikatu istnieje możliwość jego anulowania lub zamiany.

Można przykładowo zamienić certyfikat TrueBusinessID na EV bądź wystawić certyfikat dla innej domeny, niż pierwotnie zamawiana. Z tytułu każdej zmiany tego typu pobierana jest opłata manipulacyjna w wysokości 100 zł netto plus ewentualna różnica w cenie certyfikatów.

Nie dotyczy to przypadku ponownego wystawienia certyfikatu tego samego typu dla tej samej domeny - to w okresie ważności całego certyfikatu jest zawsze bezpłatne. Jest to procedura stosowana na przykład w przypadku zagubienia klucza prywatnego.

Oferujemy wygodne narzędzie do wygenerowania oferty na certyfikat SSL w formacie PDF.

Dla firm oraz instytuacji, które potrzebują formalnej oferty na zakup certyfikatów SSL, przygotowaliśmy narzędzie do samodzielnego generowania ofert w PDF. Zapraszamy do skorzystania z naszego generatora ofert na certyfikaty SSL

Do instalacji certyfikatu SSL potrzebujemy oprócz wydanego certyfikatu również klucz prywatny, który generowany jest razem z CSR.

Instalacja certyfikatu SSL wygląda podobnie, niezależnie od używanego oprogramowania serwerowego.

Dokładne instrukcje instalacji certyfikatów, w zależności od serwera, dostępne są na stronach internetowych wystawców. Z pomocą przyjdzie również dział pomocy operatora serwera, z którego usług korzystasz.

W zależności od wystawcy certyfikatu możemy go zainstalować wyłącznie na jednym serwerze, możemy wykupić dodatkowe licencje bądź też nie ma ograniczeń ilościowych instalacji.

Jeśli Twój serwis internetowy jest utrzymywany równolegle na kilku różnych serwerach (na przykład w celu optymalnego rozłożenia ruchu w przypadku popularnych stron), musisz zadbać o to, aby certyfikat SSL był wykorzystywany zgodnie z jego licencją.

Wszystkie certyfikaty RapidSSL, GeoTrust oraz Comodo wydane za naszym pośrednictwem posiadają licencję wieloserwerową bez żadnych dopłat. Oznacza to, że legalnie możesz zainstalować ten sam certyfikat na wielu różnych serwerach.

Certyfikaty Symantec posiadają standardowo licencję na jeden serwera. W przypadku chęci instalacji certyfikatu na większej ilości maszyn, należy dokupić dodatkowe licencje. Koszt licencji wieloserwerowej dla certyfikatów Symantec to wielokrotność kwoty za wydanie danego certyfikatu (przykładowo, certyfikat Symantec Secure Site z licencją na 5 serwerów będzie wiązał się z pięciokrotną opłatą za podstawowy certyfikat tego typu).

Instalacja certyfikatu na serwerze jest pierwszym krokiem do pełnego wdrożenia obsługi SSL w serwisie internetowym. Poniżej przedstawiamy krótką listę na co należy zwrócić uwagę.

Po instalacji certyfikatu SSL należy wykonać następujące czynności. Zweryfikuj najpierw, czy obsługa SSL działa w Twojej przeglądarce internetowej. W adresie Twojej strony zamień http:// na https://.

Standardem jest, że transmisję szyfrujemy w tej części serwisu, która wymaga logowania i/lub przetwarza wrażliwe dane. Przykładowo w sklepie internetowym będzie to kasa (ale koszyk jeszcze niekoniecznie), panel klienta wymagający logowania oraz cały panel administracyjny sklepu. W przypadku serwisów informacyjnych, które nie wymagają logowania od użytkowników, chroniony będzie zazwyczaj wyłącznie system CMS (panel redaktora i administratora).

Nie ma potrzeby szyfrowania całego serwisu. Strona główna oraz część informacyjna dostępna dla wszystkich nie powinna być przesyłana w formie szyfrowanej, zaś wszystkie linki do tych sekcji powinny nadal zaczynać się od http://.

Należy się więc upewnić, że wszystkie linki kierujące do powyższych części serwisu, zaczynają się od https://. Warto również dodać wymuszenie przekierowania z http:// na https:// np. do paneli administracyjnych. Wszelkie formularze przesyłające wrażliwe dane (np. formularz rejestracji czy logowania) powinny przesyłać dane do skryptów je odbierających poprzez adres zaczynający się od https://.

Jeśli przeglądarka internetowa, mimo pomyślnego nawiązania połączenia po SSL, ukazuje ostrzeżenie o niezabezpieczonej treści, oznacza to, że część plików jest przesyłana bez szyfrowania. Mogą to być na przykład zewnętrzne skrypty JavaScript, arkusze stylów, bądź obrazki, do których linki zaczynają się od http://. Należy to sprawdzić w kodzie strony i albo wymusić wczytywanie tych treści z użyciem protokołu https:// albo wyeliminować konieczność korzystania z danej treści. Należy zwrócić uwagę również na obrazki doczytywane przez arkusze stylów lub dodatkowe pliki pobierane przez kod JavaScript - nawet jeśli bezpośrednio w kodzie naszej strony nie widzimy do nich odnośników mogą one generować ostrzeżenia w przeglądarkach.

Problemem może być treść doczytywana z zewnętrznych serwerów. Jeśli np. wczytujemy obrazki z innej domeny to będą one mogły być pobierane bezpiecznie tylko wtedy, gdy tamten serwer również posiada wdrożony ważny certyfikat SSL. Nie będzie problemu natomiast z popularną usługą Google Analytics - domyślny kod śledzenia dopasuje się sam, jeśli wykryje, że wywołujemy go ze strony szyfrowanej.

Server Name Indication (SNI) to rozwiązanie, które pozwala na używanie wielu różnych certyfikatów SSL na jednym adresie IP. Dzięki temu możemy równolegle uruchomić wiele szyfrowanych stron, każda z innym certyfikatem.

Jest to rozszerzenie protokołu TLS, które wskazuje nazwę domeny, z którą chce się połączyć klient na początku procesu nawiązywania bezpiecznego połączenia. Pozwala to serwerowi na przedstawienie właściwego certyfikatu SSL dla danej domeny. Dzięki temu na tym samym adresie IP można utrzymywać wiele witryn zabezpieczonych różnymi certyfikatami SSL. Rozwiązuje to problem niedoboru adresów IP oraz konieczność stosowania zazwyczaj droższych certyfikatów MultiDomain.

Koncepcja ta pojawiła się w 2004 roku, od 2007 roku wspierana jest oficjalnie przez OpenSSL, jednakże SNI nadal nie jest stosowane powszechnie z uwagi na problemy z kompatybilnością z niektórymi przeglądarkami oraz systemami operacyjnymi. Dotyczy to urządzeń z systemem Android 2.x (domyślna przeglądarka systemowa), Internet Explorer w systemie Windows XP oraz Java w wersji wcześniejszej niż 1.7 na dowolnym systemie.

Jeśli klient, korzystający z przeglądarki nie wspierającej SNI, próbuje nawiązać połączenie, zostanie mu przedstawiony domyślny certyfikat dla danego adresu IP, co może wygenerować ostrzeżenia. Z czasem liczba systemów, które nie oferują wsparcia dla SNI, będzie się zmniejszać.

Również coraz więcej serwerów będzie oferowało możliwość instalacji certyfikatów SSL z uwzględnieniem SNI. Warto zwrócić uwagę, iż nie trzeba do tego żadnych specjalnych certyfikatów SSL. Każdy certyfikat SSL będzie można zainstalować na danym adresie IP równolegle z innymi.

Certyfikaty SSL są wydawane przez różnych wystawców. Wystawcy mogą pochwalić się różnym okresem działania na rynku oraz różną gamą certyfikatów SSL, które jednak zapewniają ten sam, wysoki poziom szyfrowania.

Oferta jest również kierowana do różnych segmentów rynkowych. Przykładowo, marka Verisign jest najlepiej rozpoznawana na świecie, zaś certyfikaty Symantec oferują najwięcej możliwości, są jednak najdroższe.

Rapid SSL to najpopularniejszy certyfikat dla witryn e-commerce. Dobrze już w Polsce znany, oferowany jako opcja przez największych dostawców hostingu.

GeoTrust jest drugim pod względem wielkości i jednym z najbardziej uznanych wystawców certyfikatów SSL na świecie. Ponad 100.000 firm w 150 krajach korzysta z rozwiązań zapewniających bezpieczeństwo oferowanych przez GeoTrust. Produkt przeznaczony dla rozwiązań profesjonalnych.

Comodo jest autoryzowanym wydawcą certyfikatów głównie dla małych przedsiębiorstw. Oferuje certyfikaty, które uwierzytelnią transmisję danych sklepu internetowego, serwisu pocztowego czy też dowolnego serwisu wymagającego logowania.

Symantec jest najbardziej zaufaną marką związaną z bezpieczeństwem w Internecie. Teraz Symantec, dawniej Verisign to marka rozpoznawana przez 79% kupujących w Stanach Zjednoczonych i nie tylko. Symantec jest liderem w dziedzinie certyfikatów SSL dla najbardziej wymagających klientów - oczekujących najwyższego poziomu bezpieczeństwa i obsługi.

Podstawowy certyfikat jest wydawany dla jednej, konkretnej nazwy domeny.

Są to najczęściej wydawane certyfikaty, spełniające potrzeby większości właścicieli stron internetowych. Taki właśnie certyfikat posiadamy wydany dla www.certyfikaty24.pl.

Warto pamiętać o tym, iż jeśli składamy wniosek o certyfikat dla nazwy domenowej zaczynającej się od www, dostaniemy certyfikat który będzie działał również dla nazwy pisanej bez www. Przykładowo certyfikat wydany dla www.certyfikaty24.pl będzie działał również dla certyfikaty24.pl. Zasada ta nie działa w drugą stronę - certyfikat wydany dla certyfikaty24.pl nie będzie działał dla www.certyfikaty24.pl.

Jeśli jednak subdomena www jest subdomeną niższego rzędu niż bezpośrednio w wydawanej domenie, ta zasada nie będzie miała zastosowania - przykładowo certyfikat dla www.panel.certs.pl nie będzie działał dla panel.certs.pl. Również zasada nie dotyczy certyfikatów MultiDomain - tutaj każdy wariant będzie stanowił osobną jednostkę domenową.

Certyfikat Wildcard oprócz domeny dla której jest wydawany, zabezpiecza również wszystkie jej subdomeny.

Certyfikat jest wydawany dla nazwy domenowej zaczynającej się od znaku *, czyli gwiazdki. Przykładowy poprawny zapis to *.certyfikaty24.pl. Aby zamówić certyfikat Wildcard, podczas generowania CSR należy pamiętać, aby zapisać nazwę domeny w tym formacie.

Taki certyfikat będzie poprawnie działał nie tylko dla domeny głównej (certyfikaty24.pl) ale również dla wszystkich jej subdomen (www.certyfikaty24.pl, backup.certyfikaty24.pl, mail.certyfikaty24.pl itp.).

Należy zwrócić uwagę, iż certyfikat zapewnia obsługę wyłącznie subdomen jednego poziomu niżej, czyli kontynuując powyższy przykład zadziała dla mail.certyfikaty24.pl ale już nie dla 2.mail.certyfikaty24.pl. Jeśli potrzebujemy certyfikat do obsługi subdomen niższego poziomu, możemy go wydać np. dla nazwy *.mail.certyfikaty24.pl.

Certyfikat typu EV (Extended Validation) to najbardziej zaufany certyfikat, którego zdobycie wymaga przejścia szczegółowej procedury weryfikacyjnej.

Dodatkowa jego funkcjonalność jest wspierana przez przeglądarki Internet Explorer 7.0+ oraz Mozilla Firefox 2+. Polega ona na tym, iż adres strony szyfrowanej certyfikatem EV jest podświetlony w pasku adresowym przeglądarki, jak również wyświetlana jest tam nazwa firmy, której nazwa jest zapisana w certyfikacie (abonent domeny). Te certyfikaty są powszechnie używane przez instytucje zaufania publicznego, szczególnie banki, gdzie priorytetem jest zapewnienie największego bezpieczeństwa i poufności dokonywanych transakcji.

Certyfikat typu MultiDomain, nazywany również UCC (Unified Communication Certificate) to jeden certyfikat, który obsługuje więcej niż jedną domenę.

Certyfikaty MultiDomain / UCC (Unified Communication Certificate) są wydawane dla jednej, wybranej nazwy domeny, tak jak standardowe certyfikaty. Obowiązują więc te same procedury uwierzytelniania (podstawowe lub pełne). Wewnątrz certyfikatu można jednak dodawać dodatkowe nazwy domen, tzw. SAN (Subject Alternative Names).

Dodatkowe nazwy domen nie muszą być powiązane z domeną podstawową, dla której wydany jest certyfikat. Dzięki temu można bezpiecznie wyświetlać zawartość szyfrowaną SSL w różnych serwisach, działającymi pod różnymi domenami, w ramach jednego serwera z wyłącznie jednym adresem IP.

Certyfikat MultiDomain może zastąpić wiele indywidualnych certyfikatów a także może pomóc zredukować koszty utrzymania serwera.

Logo uwierzytelniające jest dodatkowym elementem budującym zaufanie wśród klientów i jest dostępne w bardziej zaawansowanych certyfikatach.

Logo uwierzytelniające jest udostępniane przez wystawcę i stanowi rodzaj pieczęci, którą umieszcza się na stronie internetowej chronionej danym certyfikatem.

Pieczęć ta najczęściej jest dynamiczna. Oznacza to, że zawiera aktualną datą i godzinę, nazwę domeny oraz często również nazwę podmiotu, dla którego wydany został certyfikat (tylko w przypadku certyfikatów z pełnym uwierzytelnieniem, gdzie weryfikowana i wpisywana do certyfikatu jest nazwa firmy).

Po kliknięciu na logo uwierzytelniające, otwiera się strona zawierająca wszystkie zweryfikowane informacje. Stanowi to dodatkowy element zaufania, gdyż odwiedzający stronę internetową nie tylko zapewniony jest o tym, że jego cenne dane przesyłane są w bezpieczny sposób, ale również że właściciel strony został zweryfikowany przez zewnętrzny podmiot i jest podmiotem faktycznie istniejącym i tym, za który się podaje.

Są to specjalne certyfikaty dla twórców i wydawców oprogramowania. Pozwalają one na zapewnienie integralności kodu oraz jednoznacznie identyfikują jego pochodzenie.

Certyfikaty Code Signing wystawiane są dla konkretnego podmiotu, zajmującego się wydawaniem oprogramowania. Certyfikat nie ma limitu użyć - można nim podpisywać kod dowolną ilość razy w okresie jego ważności.

Kod podpisany przy użyciu tego certyfikatu może być łatwo zweryfikowany pod kątem jego integralności oraz źródła pochodzenia. Dzięki temu wydawca oprogramowania może zapewnić użytkownika końcowego, iż kod nie został zmodyfikowany w trakcie procesu dystrybucji i pochodzi rzeczywiście od tego wydawcy.

Certyfikat Code Signing wydawany jest na określony czas (1 rok lub 2 lata), jednakże kod podpisany danym certyfikatem będzie uznawany za zweryfikowany również po upływie okresu ważności certyfikatu (o ile certyfikat nie został unieważniony). Istotny jest tutaj wyłącznie moment podpisania kodu.

Poziom uwierzytelnienia dotyczy procedury wystawiania certyfikatu.

W wariancie podstawowym nie jest weryfikowana tożsamość osoby aplikującej, jedynie prawa własności do domeny, dla której certyfikat ma zostać wydany. W każdym przypadku na adres administratora w domenie wysyłany przez wystawcę certyfikatu e-mail z prośbą o potwierdzenie danych i zaakceptowanie warunków wystawienia certyfikatu. W wariancie pełnym uwierzytelnienia weryfikowana jest również tożsamość oraz fizyczny adres aplikanta/firmy na podstawie dodatkowych dokumentów (muszą być one przetłumaczone na język angielski). W takim przypadku do certyfikatu oprócz nazwy domeny wpisywane są również dodatkowe zweryfikowane dane. Wówczas certyfikat nie tylko zapewnia szyfrowane połączenie ale również daje dodatkową gwarancję wiarygodności Twojej firmy dla klienta.

Dla certyfikatów z podstawowym uwierzytelnieniem nie są potrzebne żadne dokumenty i są one wydawane najszybciej - można je uzyskać nawet w kilka minut.

Cała weryfikacja odbywa się elektronicznie i trwa mniej niż 24 godziny.

Aby otrzymać certyfikat, należy mieć dostęp do skrzynki e-mail znajdującej się w domenie, dla której jest wydawany certyfikat o nazwie jednej z następujących: webmaster, admin, administrator, hostmaster, postmaster. Przykładowo, adresem weryfikacyjnym dla domeny secure.xyz.pl może być admin@xyz.pl, zaś dla domeny www.domeny.tv może być admin@domeny.tv.

Ta procedura wydania dotyczy certyfikatów, w których wystawca weryfikuje firmę, która wnosi o wydanie certyfikatu. Odbywa się to na podstawie przedstawionych dokumentów firmy.

Po zamówieniu certyfikatu tego typu (np. GeoTrust TrueBusinessID) należy do wystawcy przesłać dokumenty rejestrowe firmy. Dane w nich zawarte są weryfikowane w rejestrach, do których dostęp ma wystawca. Przykładowe wymagane dokumenty to kopia wpisu do ewidencji działalności gospodarczej bądź wyciąg z KRS.

Sprawdzana jest zgodność podanej nazwy firmy z wpisem abonenta domeny w bazie WHOIS. Jeżeli domena jest zarejestrowana na dane prywatne lub ukryte, należy zaktualizować dane w bazie WHOIS u obecnego rejestratora domeny.

Nawiązywana jest również próba telefonicznego kontaktu z przedstawicielem firmy. Wystawca certyfikatu odnajduje numer kontaktowy w publicznej bazie danych i przeprowadza krótką rozmowę z przedstawicielem bądź pracownikiem danej firmy. W przypadku braku możliwości ustalenia oficjalnego numeru telefonu, potrzebne może być przedstawienie rachunku telefonicznego wystawionego dla daną firmę, zawierającego numer telefonu, który następnie zostanie użyty do weryfikacji.

Wydanie certyfikatu EV jest możliwe tylko po pomyślnym przeprowadzeniu procedury weryfikacji tożsamości aplikanta.

Przygotowanie i przedstawienie dokumentów wystawcy leży w obowiązku zamawiającego certyfikat, zaś cała procedura weryfikacji może trwać kilka dni, bądź dłużej, jeśli zajdzie konieczność uzupełniania dokumentów.

W przypadku certyfikatu SSL GeoTrust EV prosimy o dokładnie zapoznanie się z wymaganiami GeoTrust EV, gdzie dokładnie opisana jest procedura weryfikacji oraz lista dokumentów, jakie mogą być potrzebne. W szczególności należy wypełnić oraz dostarczyć dokument Acknowledgement of Agreement. Wszystkie przesyłane dokumenty prosimy oznaczyć numerem zlecenia, otrzymanym po zainicjowaniu realizacji zamówienia.

W przypadku certyfikatu SSL Comodo EV prosimy o dokładnie zapoznanie się wytycznymi w zakresie weryfikacji Comodo EV. Dodatkowo, oprócz dokumentów aplikanta, należy wypełnić oraz podpisać następujące dokumenty: EV SSL Certification Form oraz EV SSL Certificate Subscriber Agreement. Wzory obydwu dokumentów znajdują się na stronie pobierania dokumentów Comodo. Wszystkie przesyłane dokumenty prosimy oznaczyć numerem zlecenia, otrzymanym po zainicjowaniu realizacji zamówienia.

Wybrane certyfikaty możesz uzyskać nawet w kilka minut, na wydanie innych należy zarezerwować co najmniej kilka dni czasu. Dowiesz się tu, od czego to zależy.

Najszybciej można uzyskać certyfikaty SSL z uwierzytelnieniem podstawowym, czyli takie, w których weryfikowane jest wyłącznie prawo do posiadanej domeny.

Certyfikat (np. RapidSSL lub GeoTrust QuickSSL Premium) możesz uzyskać nawet w kilka minut, niezależnie od pory dnia i nocy. Jeśli zamówisz certyfikat i opłacisz go kartą płatniczą lub przelewem on-line, procedura wydania zostanie zainicjowana automatycznie. Po potwierdzeniu przez Ciebie praw do domeny (poprzez kliknięcie w link autoryzacyjny, wysyłany na adres e-mail w domenie, dla której ma być wydany certyfikat) certyfikat jest wydawany natychmiast (z nielicznymi wyjątkami, określonymi przez wystawcę).

Certyfikat z pełnym uwierzytelnieniem, czyli taki, dla którego w ramach procedury wydania dokonywana jest weryfikacja firmy (sprawdzanie dokumentów i kontakt z firmą) będzie wymagał co najmniej 1 dnia roboczego na wykonanie tych czynności.

Najwięcej czasu należy przeznaczyć na wydanie certyfikatu EV. Trwać będzie zarówno weryfikacja dokumentów firmy jak i również ich przygotowanie (jeśli np. pojawi się konieczność przedstawienia opinii prawnej). Z doświadczenia wiemy, że najczęściej trwa to łącznie około 1-2 tygodni.

Certyfikat SSL najlepiej odnowić, gdy pozostaje mniej niż 3 miesiące do końca jego ważności.

Jeśli występujemy o odnowienie certyfikatu SSL w okresie 3 ostatnich jego miesięcy ważności a wystawca certyfikatu pozostaje ten sam, to nowy certyfikat będzie miał przedłużoną ważność.

Przykładowo certyfikat odnawiany w okresie 90-60 dni przed wygaśnięciem będzie miał wydłużoną ważność o 3 miesiące. Dlatego też nie trzeba czekać na ostatnią chwilę i warto rozpocząć procedurę odnawiania certyfikatu z odpowiednim wyprzedzeniem.

Wcześniejsze odnowienie jest szczególnie istotne w przypadku certyfikatów SSL z pełnym uwierzylnieniem (szczególnie EV), gdzie procedury wydania mogą być czasochłonne. Chodzi o to, aby uzyskać nowy certyfikat odpowiednio przed wygaśnięciem aktualnego, aby mieć wystarczająco dużo czasu na jego instalację w dogodnym momencie, bez przerw w działaniu serwisu internetowego.

Odnawiany certyfikat to faktycznie nowy certyfikat. Obowiązują więc te same procedury jak w przypadku aplikowania o dany certyfikat po raz pierwszy.

Należy więc, w zależności od rodzaju wybranego certyfikatu, przejść przez odpowiednie procedury jego wydania.

W zależności od rodzaju uwierzytelnienia, będzie to potwierdzenie praw do domeny poprzez kliknięcie w link w mailu wysyłanym przez wystawcę certyfikatu, bądź też konieczność przedstawienia odpowiednich dokumentów.

Przypominamy, iż warto rozpocząć procedurę odnowienia certyfikatu już na 90 dni przed jego wygaśnięciem. Możemy wówczas otrzymać dodatkowo do 3 miesięcy ważności nowego certyfikatu gratis.

Certyfikaty są wydawane na okres 1 roku lub jego wielokrotność. Przed upływem ważności certyfikatu otrzymasz od nas stosowne powiadomienie.

Istnieje możliwość szybkiego odnowienia certyfikatu przy użyciu tego samego CSR jak przy aktualnym certyfikacie. Można u nas w taki sposób odnowić certyfikat zamówiony również gdzie indziej, o ile rodzaj certyfikatu jest taki sam (np. RapidSSL).

Odnowiony certyfikat otrzymasz e-mailem. Należy go zainstalować na serwerze w taki sam sposób, w jaki był instalowany pierwotny certyfikat. Dokonaj instalacji niezwłocznie po otrzymaniu odnowionego certyfikatu, jest on ważny od dnia jego wystawienia, niezależnie ile czasu zostało do wygaśnięcia starego certyfikatu.

Jeśli zamówisz certyfikat i opłacisz go kartą płatniczą lub przelewem on-line, procedura wydania zostanie zainicjowana automatycznie.

Sposób weryfikacji nie wpływa na szybkość wydania certyfikatu. Wybierz po prostu taki, który będzie dla Ciebie najwygodniejszy.

Po potwierdzeniu przez Ciebie praw do domeny (poprzez kliknięcie w link autoryzacyjny, wysyłany na adres e-mail w domenie, dla której ma być wydany certyfikat) certyfikat jest wydawany natychmiast (z nielicznymi wyjątkami, określonymi przez wystawcę).

Częstym obserwowanym przez nas problemem jest to, że dana skrzynka pocztowa nie istnieje w momencie zamówienia certyfikatu. Jeśli utworzysz ją później, ponowna weryfikacyjna wiadomość e-mail nie zostanie wysłana automatycznie. Musisz zalogować się do panelu wystawcy certyfikatu, aby zlecić ponowną wysyłkę, lub skontaktować się z nami.

Otrzymasz automatycznie informację o tym, jaki plik i pod jakim adresem w Twojej domenie musisz go umieścić. Plik musi mieć dokładnie taką zawartość, jaką wymaga wystawca. To, czy został poprawnie umieszczony zweryfikujesz w prosty sposób, po prostu wchodząc na podany adres URL.

Po wykonaniu tej czynności oczekuj na certyfikat. System wystawcy automatycznie będzie odpytywał Twój serwer tak długo, aż będzie w stanie znaleźć wymagany plik.

Otrzymasz informację o wartości rekordu DNS, jaki powinieneś dodać na serwerze DNS, obsługującym daną domenę. Będzie to rekord typu TXT, który musisz umieścić o dokładnie takiej wartości, jaką zażyczy sobie wystawca.

Po wykonaniu tej czynności oczekuj na certyfikat. System wystawcy automatycznie będzie odpytywał serwery DNS Twojej domeny tak długo, aż będzie w stanie znaleźć wymagany rekord.

Do porównania:

Porównaj!